MagicianMiDo32
مراقب قسم الحماية ، خبراء زيزووم
طـــاقم الإدارة
★★ نجم المنتدى ★★
فريق فحص زيزووم للحماية
نجم الشهر
عضوية موثوقة ✔️
كبار الشخصيات
- إنضم
- 29 أبريل 2012
- المشاركات
- 9,237
- مستوى التفاعل
- 27,176
- النقاط
- 6,750
- الإقامة
- Egypt
- الموقع الالكتروني
- web.facebook.com
غير متصل
بسم الله الرحمن الرحيم
ــــــــــــــــــــــــــــــــــــــــــــــــــــــ
السلام عليكم ورحمة الله وبركاته
ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ
طبعا كنت متغيب بسبب أنقطاع الت التام + الدراسة
ولكن أحببت أن أعود بشيء مطرقع
+++++++++++++++++++++++++++++++
كالعادة لاويجد أبدا شيئ كامل
وما وش الروعة على التراست سوى أن لا أحد يبحث فيه
ولو بحث أحد عليه بعمق فسوف يجد مئااااااااااااااات الثغرات
---------------------------------------------------------------
عموما :-
المشاكل تتمثل في
- خطأ في توافق الآلية مع الويندوز 8
- تلف البرنامج في حالة الترقية من 13 - 14
- مشكلة القاعدة ريستريكت والقوائم البيضاء
-------------------------------------------------------
قد يكون أحدكم قد لاحظ هذا من قبل
وأليكم:
الخطأ في التوافق مع ال8 أقصد به وحدة ابليكيشن انسبكتر
والسبب هو أنها لاتمنع حواضن السكربتات كالدوس مثلا
وكتلميح بسيط
معنى سكربت أي مخطوطة
أي مجموعة من الأوامر التنفيذية فقط
ولاتملك حاضن
أو تستطيع تشغيل نفسها
== ورقة مكتوب عليها حجات
ولاتمثل بيئة تطوير متكاملة
لهذا فقد وفرت شركة مايكروسوفت مجموعة من التطبيقات المساعدة كالcmd
لتعمل كحاضن لهذة الملفات
يعني تشغلها- تنفذ المكتوب فيها
المشكلة تتمحور حول
أن منفذ الأوامر هو الدوس
يعني الدوس هو الي بيدمر الجهاز
والبات بس أوامر
وأقصد بالبات بات الموت أضافة الى أحد السكربتات التي طرحتها
وافادني أخونا جو أن السكربت الذي طرحته مسبقا وضع أضافة في الستارت أب >> التراست لايحتوي عل القاعدة هذا الملف يحاول أضافة نفسه لبدء التشغيل
لكن في الحقيقة كان السكربت مقيد على القاعدة رستركت ولم يؤذ أخونا جو
- الريستريكت خاصة بالأدوير ومبرمجة لوضع بعض البرامج الدعائية
كالداون لودر مثلا دون المساس بالمعلومات الشخصية
يعني برنامج بيجمع عنك معلومات وينشرها على النت مثلا
وفي نفس الوقت أنت في حاجة أليه
أمنع جمع المعلومات وأسمح للباقي
- اللمحة الثانية أقصد بها نفسي وبات الموت
جاءتني رسالة من أخونا أحمد ابراهيم يقول لي فيها أن التراست لم يستطع التصدي لأحد السكربتات (نفس السكربت Microsoft.vbs j مع أنه تصدى له عندي)
فأستغربتها وبدأت أجري التجارب حتى جربت على بات الموت
-حملت ملف الأعدادات المعتمد حاليا >> وفيه أعدادات متوسطة وفيه قوائم بيضاء فقط شغلت مميزات البرنامج ورقعت بعض الثغرات العملية فيه - لم أزد شيئا عن هذا ..
حملته على برنامج على الويندوز 8 وفي نفس الوقت على ويندوز أكس بي
أدخل في الشادو وأعمل سناف _ أحتياطيا
وياه البرنامج الموجود على الويندوز أكس بي منع الملف فيما فشل ال8 من منعه
فبدأت العمل من تلك النقطة
وضعت ملف في الحماية لدى التراست :O
ونفذت بات وسكربت خاص بحذف الملف
- :0 فحذف
>> نفذت حذف عادي على الملف - تم منع الوصول
نفذت حذف برمجي ببرميج exe ظهرت رسالة :- البرنامج يحاول التعديل على ملفات النظام
$ $$$$$
أعدت التجربة على الأكس بي
وفي كل مرة ظهرت لي رسالة تنبيه
الدوس \ الهوست سكرتبت \ برنامج exe\ يحاول التعديل على أعدادات النظام
_ حذف يدوي ياجماعة تم حظر الوصول فيه أمر بديهي^3^ ??
وبعد بضعة تجارب أخرى أستنتجت
:- أن التراست في نسخته 2014 لايستطيع منع حواضن السكربت
*وأنما يسمح لها بتنفيذ السكربت سماحا تاما دون أي تقييد أو مراقب_ حتى أنها قد تحذف ملفات من التراست نفسه :-D
------------------------------------
التغرة الثانية:-
تتمثل في القاعدة رستركت والقوائم البيضاء
وكما قلنا القاعدة رستركت مبرمجة أصلا لكي تمنع الأدوير
ومعنى وضع برنامج فيها وسقوط التراست لايعني أنه سقط
في الحقيقة الشركة تستطيع ألغاءها تماما
ولو حدث ذلك فسيكون تعاملنا معه مثل أي حاجب سلوك آخر كالبتديفندر مثلاأو غيره
رسالة واحدة وأعمل بلوك
وكما يجب أن نعلم البرنامج ليس رسائل وهوب قوي جدا
أنما الأهم أن يناسب المستخدم
فلو جئنا على قواعد تقييد أحد البرامج ككومودو
فالأفتراضي هو محدود جزئيا ونحن نضعه الى مقيد \ رستركت
وأنا مع تجاربي هذى الفترة مع التنين النافث
نادرا ما أشغل شيئا لايدخله في الساندبوكس xXD
ولكن العبرة هنا أن القاعدة محدود جزئيا تمنع فقط السلوكيات الخطيرة وتسمح بالحميدة
وطبعا لابد من وجود تشابه بينهما
أو تشابه بين سلوك حميد وآخر خبيث
فالحذف مثلا
أحيانا قد يريد ابرنامج حذف المؤقتة > كويس
أو يريد
حذف ملفات النظام أو ملفات المستخدم>
هل هناك فرق بين ملفات التيمب وملفات المستخدم = لا
ومن هنا يحدث السقوط ??
أن الحلال بين وأن الحرام بين وأن بينهما أمور متشابهات . فمن وقع في الحرام فقد وقع في الحمى كالراعي يرعى حول الحمى يوشك أن يرتع فيه ألا وأن لكل ملك حمى ألا وأن حمى الله محارمه ألا وأن في الجسد نضغة أذاصلحت صلح الجسد كلهوأذافسدت فسد الجسد كله ألا وهي القلب ....) صدق رسول الله (صَلَّى اللَّه عليه وسلم )-أكثر رواي
فاتقوا الشبهات
والشبهات هنا كما نقول في موقفنا هذا هي التشابه بين الملف الخبيث والسليم
- نعود للموضوع
التراست بورت كما نعلم جميعا يستخدم شهادات مايكروسوفت في بحث البرامج
يعني البرنامج الذي يحمل شهادة وثوق من مايكروسوفت يسمح له وان لم يحمل تظهر عليه رسالة
لكن في النسخة 2014
في حالة ما أذا كان البرنامج لايحمل شهادة من مايكروسوفت ولكن يحمل توقيعا رقميا
يتم وضعه على القاعدة رستركت
وكما نعلم القاعدة رستركت :0
- في أحدى مشاركات أخونا أحمد البردانة عندما كان محب لسنة (أظنه لايحب هذا الأسم : أبن تيمية) قام أخونا أبن البدرانة بالتجربة على برنامج حماية كاذب وأظنه لايملك توقيعا رقمياسليما كفاية لخداع التراست + من نوع Rogue
وضعه على الريستركت فجاءت النتيجة وكأن التراست نائم في العسل
كأنه يطارد ثعلبا يلوذ منه يمينا ويسارا
= في الحقيقة ظهرت رسالة فور تشغيل الملف وأخونا أحمد أختار ريتريكت
فلم تحسب .
طبعا نعرف هذة المشاركة المشهورة لأخونا احمد
- الثانية وطبعا لأخونا جو "ملك التراست" >> صراحة بيجيب حاجات أنا نفسي لو قعد 100000000 سنة مش هجيبها
وفي أحد المواضيع لأخونا حميد أو حمادة لمجموعة برامج صينية مزورة ولها توقيع
شغل جو أحد الملفات ولم تظهر له سوى رسالة من الفايروول
وبعد الفحص بالهيتمان برو - لا أصابات "مع أنه مكتشف من الهيتمان"
ولم يقم لملف سوى بأضافة بعض الثيمات فقط وفتح موقع ثيمات - لم يعدل على المتصفح أو النظام
فلم تحسب.
>> من تلكما المشاركتين لو لاحظنا
مذا كان ليحدث لو أن التراست وضع برنامجا خطيرا"كبرنامج الحماية الكاذب في تجربة أخونا أحمد" تلقائيا على الريستريكت كما وضع برنامج له توقيع رقمي "كبرنامج أخونا حميد في مشاركةاخونا جو"
كان سيحدث : ....
3 وهي مشكلة تقنية
أنه عند الترقية من النسخة 2013 الى النسخة 2014
فلن تستطيع بعد ذلك تغيير الأعدادات -يحدث هذا لو أخترت أستخدام أعدادات النسخة 2013 للنسخة 2014 أثناء التنصيب
حدثت الشركة لكن ليس بالتفصيل
أرسلت لهم : لا أستطيع تغيير الأعدادات ووضعت لهم كود الخطأ-4 "ألاجع الى : المرجع الشامل للتراست بورت 2013في قسم الشروحات - آخر فقرة : أكوادالخطأ"
قالو لي : هل أستخدمت أعدادات 13 ل14 أرسل ألينا ملف أعداداتك
عرفت أنهم يعرفون ذلك
فـ .... أعطيتهم الأستمارة رقم 6 xXD
طنشتهم
كنسلتهم
قرطستهم
يعني لم أرد عليهم قولها زي ماتقول
أعد تنصيب البرنامج وأثناء التنصيب وضعت ملف أعادادت الشركة الأفتراضي والحمد لله
----
ملاحظة :-
أعدادات التراست ليست كباقي الأعدادات صح وغلط وعلم هنا وهنا
وأنما هي أوامر برمجية معقدة تحتاج الكثير من الجهد
لذلك لا أقول أضبط الأعدادات بنفسك
لكن حمل ملف الأعدادات
مع العلم أنه يتم تنفيذه واستخراجه بالملف في الأمتداد
C:\Program Files\TrustPort\Antivirus\conf
والله أعلم و الله المستعان على مانقول
-----------------
أعتذر على عدم التنسيق لبطئ النت - مسرووووووووووووووووق واي فاااااااااااي
كما أعتذر عن الغياب الطوييييييييل بسببب أنقطاع النت والواي فاي التام والدراسة
بالتوفيق
آه وبلغو تحياتي لأخونا احمد البدرانة وجو
وقولولهم لسة محدش أعتقلني الحمد لله xXD
سلااااااااااااااااااااااااااااااااااااااااام
ــــــــــــــــــــــــــــــــــــــــــــــــــــــ
السلام عليكم ورحمة الله وبركاته
ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ
طبعا كنت متغيب بسبب أنقطاع الت التام + الدراسة
ولكن أحببت أن أعود بشيء مطرقع
+++++++++++++++++++++++++++++++
كالعادة لاويجد أبدا شيئ كامل
وما وش الروعة على التراست سوى أن لا أحد يبحث فيه
ولو بحث أحد عليه بعمق فسوف يجد مئااااااااااااااات الثغرات
---------------------------------------------------------------
عموما :-
المشاكل تتمثل في
- خطأ في توافق الآلية مع الويندوز 8
- تلف البرنامج في حالة الترقية من 13 - 14
- مشكلة القاعدة ريستريكت والقوائم البيضاء
-------------------------------------------------------
قد يكون أحدكم قد لاحظ هذا من قبل
وأليكم:
الخطأ في التوافق مع ال8 أقصد به وحدة ابليكيشن انسبكتر
والسبب هو أنها لاتمنع حواضن السكربتات كالدوس مثلا
وكتلميح بسيط
معنى سكربت أي مخطوطة
أي مجموعة من الأوامر التنفيذية فقط
ولاتملك حاضن
أو تستطيع تشغيل نفسها
== ورقة مكتوب عليها حجات
ولاتمثل بيئة تطوير متكاملة
لهذا فقد وفرت شركة مايكروسوفت مجموعة من التطبيقات المساعدة كالcmd
لتعمل كحاضن لهذة الملفات
يعني تشغلها- تنفذ المكتوب فيها
المشكلة تتمحور حول
أن منفذ الأوامر هو الدوس
يعني الدوس هو الي بيدمر الجهاز
والبات بس أوامر
وأقصد بالبات بات الموت أضافة الى أحد السكربتات التي طرحتها
وافادني أخونا جو أن السكربت الذي طرحته مسبقا وضع أضافة في الستارت أب >> التراست لايحتوي عل القاعدة هذا الملف يحاول أضافة نفسه لبدء التشغيل
لكن في الحقيقة كان السكربت مقيد على القاعدة رستركت ولم يؤذ أخونا جو
- الريستريكت خاصة بالأدوير ومبرمجة لوضع بعض البرامج الدعائية
كالداون لودر مثلا دون المساس بالمعلومات الشخصية
يعني برنامج بيجمع عنك معلومات وينشرها على النت مثلا
وفي نفس الوقت أنت في حاجة أليه
أمنع جمع المعلومات وأسمح للباقي
- اللمحة الثانية أقصد بها نفسي وبات الموت
جاءتني رسالة من أخونا أحمد ابراهيم يقول لي فيها أن التراست لم يستطع التصدي لأحد السكربتات (نفس السكربت Microsoft.vbs j مع أنه تصدى له عندي)
فأستغربتها وبدأت أجري التجارب حتى جربت على بات الموت
-حملت ملف الأعدادات المعتمد حاليا >> وفيه أعدادات متوسطة وفيه قوائم بيضاء فقط شغلت مميزات البرنامج ورقعت بعض الثغرات العملية فيه - لم أزد شيئا عن هذا ..
حملته على برنامج على الويندوز 8 وفي نفس الوقت على ويندوز أكس بي
أدخل في الشادو وأعمل سناف _ أحتياطيا
وياه البرنامج الموجود على الويندوز أكس بي منع الملف فيما فشل ال8 من منعه
فبدأت العمل من تلك النقطة
وضعت ملف في الحماية لدى التراست :O
ونفذت بات وسكربت خاص بحذف الملف
- :0 فحذف
>> نفذت حذف عادي على الملف - تم منع الوصول
نفذت حذف برمجي ببرميج exe ظهرت رسالة :- البرنامج يحاول التعديل على ملفات النظام
$ $$$$$
أعدت التجربة على الأكس بي
وفي كل مرة ظهرت لي رسالة تنبيه
الدوس \ الهوست سكرتبت \ برنامج exe\ يحاول التعديل على أعدادات النظام
_ حذف يدوي ياجماعة تم حظر الوصول فيه
أمر بديهي^3^ ??وبعد بضعة تجارب أخرى أستنتجت
:- أن التراست في نسخته 2014 لايستطيع منع حواضن السكربت
*وأنما يسمح لها بتنفيذ السكربت سماحا تاما دون أي تقييد أو مراقب_ حتى أنها قد تحذف ملفات من التراست نفسه :-D
------------------------------------
التغرة الثانية:-
تتمثل في القاعدة رستركت والقوائم البيضاء
وكما قلنا القاعدة رستركت مبرمجة أصلا لكي تمنع الأدوير
ومعنى وضع برنامج فيها وسقوط التراست لايعني أنه سقط
في الحقيقة الشركة تستطيع ألغاءها تماما
ولو حدث ذلك فسيكون تعاملنا معه مثل أي حاجب سلوك آخر كالبتديفندر مثلاأو غيره
رسالة واحدة وأعمل بلوك
وكما يجب أن نعلم البرنامج ليس رسائل وهوب قوي جدا
أنما الأهم أن يناسب المستخدم
فلو جئنا على قواعد تقييد أحد البرامج ككومودو
فالأفتراضي هو محدود جزئيا ونحن نضعه الى مقيد \ رستركت
وأنا مع تجاربي هذى الفترة مع التنين النافث
نادرا ما أشغل شيئا لايدخله في الساندبوكس xXD
ولكن العبرة هنا أن القاعدة محدود جزئيا تمنع فقط السلوكيات الخطيرة وتسمح بالحميدة
وطبعا لابد من وجود تشابه بينهما
أو تشابه بين سلوك حميد وآخر خبيث
فالحذف مثلا
أحيانا قد يريد ابرنامج حذف المؤقتة > كويس
أو يريد
حذف ملفات النظام أو ملفات المستخدم>
هل هناك فرق بين ملفات التيمب وملفات المستخدم = لا
ومن هنا يحدث السقوط ??
أن الحلال بين وأن الحرام بين وأن بينهما أمور متشابهات . فمن وقع في الحرام فقد وقع في الحمى كالراعي يرعى حول الحمى يوشك أن يرتع فيه ألا وأن لكل ملك حمى ألا وأن حمى الله محارمه ألا وأن في الجسد نضغة أذاصلحت صلح الجسد كلهوأذافسدت فسد الجسد كله ألا وهي القلب ....) صدق رسول الله (صَلَّى اللَّه عليه وسلم )-أكثر رواي
فاتقوا الشبهات
والشبهات هنا كما نقول في موقفنا هذا هي التشابه بين الملف الخبيث والسليم
- نعود للموضوع
التراست بورت كما نعلم جميعا يستخدم شهادات مايكروسوفت في بحث البرامج
يعني البرنامج الذي يحمل شهادة وثوق من مايكروسوفت يسمح له وان لم يحمل تظهر عليه رسالة
لكن في النسخة 2014
في حالة ما أذا كان البرنامج لايحمل شهادة من مايكروسوفت ولكن يحمل توقيعا رقميا
يتم وضعه على القاعدة رستركت
وكما نعلم القاعدة رستركت :0
- في أحدى مشاركات أخونا أحمد البردانة عندما كان محب لسنة (أظنه لايحب هذا الأسم : أبن تيمية) قام أخونا أبن البدرانة بالتجربة على برنامج حماية كاذب وأظنه لايملك توقيعا رقمياسليما كفاية لخداع التراست + من نوع Rogue
وضعه على الريستركت فجاءت النتيجة وكأن التراست نائم في العسل
كأنه يطارد ثعلبا يلوذ منه يمينا ويسارا
= في الحقيقة ظهرت رسالة فور تشغيل الملف وأخونا أحمد أختار ريتريكت
فلم تحسب .
طبعا نعرف هذة المشاركة المشهورة لأخونا احمد
- الثانية وطبعا لأخونا جو "ملك التراست" >> صراحة بيجيب حاجات أنا نفسي لو قعد 100000000 سنة مش هجيبها
وفي أحد المواضيع لأخونا حميد أو حمادة لمجموعة برامج صينية مزورة ولها توقيع
شغل جو أحد الملفات ولم تظهر له سوى رسالة من الفايروول
وبعد الفحص بالهيتمان برو - لا أصابات "مع أنه مكتشف من الهيتمان"
ولم يقم لملف سوى بأضافة بعض الثيمات فقط وفتح موقع ثيمات - لم يعدل على المتصفح أو النظام
فلم تحسب.
>> من تلكما المشاركتين لو لاحظنا
مذا كان ليحدث لو أن التراست وضع برنامجا خطيرا"كبرنامج الحماية الكاذب في تجربة أخونا أحمد" تلقائيا على الريستريكت كما وضع برنامج له توقيع رقمي "كبرنامج أخونا حميد في مشاركةاخونا جو"
كان سيحدث : ....
3 وهي مشكلة تقنية
أنه عند الترقية من النسخة 2013 الى النسخة 2014
فلن تستطيع بعد ذلك تغيير الأعدادات -يحدث هذا لو أخترت أستخدام أعدادات النسخة 2013 للنسخة 2014 أثناء التنصيب
حدثت الشركة لكن ليس بالتفصيل
أرسلت لهم : لا أستطيع تغيير الأعدادات ووضعت لهم كود الخطأ-4 "ألاجع الى : المرجع الشامل للتراست بورت 2013في قسم الشروحات - آخر فقرة : أكوادالخطأ"
قالو لي : هل أستخدمت أعدادات 13 ل14 أرسل ألينا ملف أعداداتك
عرفت أنهم يعرفون ذلك
فـ .... أعطيتهم الأستمارة رقم 6 xXD
طنشتهم
كنسلتهم
قرطستهم
يعني لم أرد عليهم
قولها زي ماتقولأعد تنصيب البرنامج وأثناء التنصيب وضعت ملف أعادادت الشركة الأفتراضي والحمد لله
----
ملاحظة :-
أعدادات التراست ليست كباقي الأعدادات صح وغلط وعلم هنا وهنا
وأنما هي أوامر برمجية معقدة تحتاج الكثير من الجهد
لذلك لا أقول أضبط الأعدادات بنفسك
لكن حمل ملف الأعدادات
مع العلم أنه يتم تنفيذه واستخراجه بالملف في الأمتداد
C:\Program Files\TrustPort\Antivirus\conf
والله أعلم و الله المستعان على مانقول
-----------------
أعتذر على عدم التنسيق لبطئ النت - مسرووووووووووووووووق واي فاااااااااااي
كما أعتذر عن الغياب الطوييييييييل بسببب أنقطاع النت والواي فاي التام والدراسة
بالتوفيق
آه وبلغو تحياتي لأخونا احمد البدرانة وجو
وقولولهم لسة محدش أعتقلني الحمد لله xXD
سلااااااااااااااااااااااااااااااااااااااااام
